Categories: RechtRegulierung

EU-Kartellwächter: Datenübertragungen gemäß Privacy Shield ab sofort illegal

Der Europäische Datenschutzausschuss (EDPB) hat Ende vergangener Woche häufig gestellte Fragen zum Schrems-II-Urteil veröffentlicht, mit dem der Gerichtshof der Europäischen Union kürzlich das Datenschutzabkommen Privacy Shield gekippt hat. Die EU-Datenschützer machen vor allem darauf aufmerksam, dass das Urteil keinerlei Schonfristen enthält. Es ist stattdessen sofort umzusetzen: Ein Datenaustausch mit Drittländern außerhalb des Europäischen Wirtschaftsraums ist unter Privacy Shield ab sofort illegal.

Die Antwort auf die Frage, ob Privacy Shield zumindest vorübergehend noch als rechtliche Basis für Datenübertragungen genutzt werden kann, beantworten die Datenschützer von daher auch mit einem klaren: „Nein, der Gerichtshof hat die Entscheidung über den Schutz der Privatsphäre für ungültig erklärt, ohne ihre Wirkungen aufrechtzuerhalten, weil das vom Gerichtshof beurteilte US-Recht kein im Wesentlichen gleichwertiges Schutzniveau wie die EU bietet. Diese Beurteilung muss bei jeder Übertragung in die USA berücksichtigt werden.“

„Übertragungen auf Basis dieses rechtlichen Abkommens sind illegal“, heißt es dann auch in der Antwort zu einer weiteren Frage, mit der der EDPB auch direkt auf die mögliche Alternative „Standardvertragsklauseln“ verweist. Sie legen jedoch die Verantwortung für eine legale Übermittlung von Daten in die Hände des Unternehmens, das Daten in die USA oder ein anderes Land außerhalb des EU-Wirtschaftsraums übertragen will.

Unter anderem merken die Datenschützer an, dass das Gericht auch in Bezug auf die Standardvertragsklauseln festgestellt hat, dass das US-Recht kein gleichwertiges Schutzniveau bietet wie die EU. „Ob Sie personenbezogene Daten auf der Grundlage von Standardvertragsklauseln übermitteln können, hängt vom Ergebnis Ihrer Beurteilung ab, wobei die Umstände der Übermittlung und zusätzliche Maßnahmen, die Sie ergreifen könnten, zu berücksichtigen sind. Die ergänzenden Maßnahmen zusammen mit den Standardvertragsklauseln müssten nach einer Einzelfallanalyse der Umstände der Übermittlung sicherstellen, dass das US-Recht das angemessene Schutzniveau, das sie garantieren, nicht beeinträchtigt.“ Sei der Schutz nicht gewährleistet, müsse der Transfer personenbezogener Daten auf Basis der Standardvertragsklauseln ausgesetzt oder beendet werden.

Eine weitere Möglichkeit des Datentransfers bietet unter Umständen eine Ausnahmevorschrift des Artikels 49 der Datenschutzgrundverordnung. Demnach können Daten auch dann in die USA oder ein anderes Drittland übertragen werden, wenn eine explizite Zustimmung des Nutzers dafür vorliegt. Sie muss sich allerdings auf bestimmte Daten oder Übertragungen beziehen. Die Zustimmung muss vor dem Transfer eingeholt werden, auch wenn dieser erst nach der Datensammlung stattfindet. Die Zustimmung muss den Inhaber der Daten zudem gezielt über mögliche Risiken, die sich aus der Übertragung in ein spezielles Land ergeben könnten, informiert werden.

Der Datenschutzausschuss betonte abschließend, dass das Urteil nicht nur auf die USA, sondern auf alle Drittländer anzuwenden ist. Standardvertragsklauseln müssen also unter anderem jeweils dahingehend geprüft werden, dass die Gesetze im Empfängerland der Daten ein der EU entsprechendes Schutzniveau bieten.

Schon unmittelbar nach Bekanntwerden der Entscheidung hatte der Datenschutzaktivist Max Schrems, dessen Beschwerde gegen Facebook nicht nur das Privacy-Shield-Abkommen gekippt hat, sondern auch dessen Vorgänger, darauf hingewiesen, dass auch die Standardvertragsklauseln nicht für einen Datenaustausch mit den USA angewendet werden können. Die zuständigen Datenschutzbehörden forderte er auf, von sich aus gegen Unternehmen vorzugehen, „wenn US-Überwachungsgesetze gegen die Grundsätze des EU-Datenschutzrechts verstoßen, die Unternehmen aber nicht tätig geworden sind“.

ANZEIGE

Netzwerksicherheit und Netzwerkmonitoring in der neuen Normalität

Die Gigamon Visibility Platform ist der Katalysator für die schnelle und optimierte Bereitstellung des Datenverkehrs für Sicherheitstools, Netzwerkperformance- und Applikationsperformance-Monitoring. Erfahren Sie in diesem Webinar, wie Sie mit Gigamon-Lösungen die Effizienz ihrer Sicherheitsarchitektur steigern und Kosten einsparen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago